Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPNs dinâmicas com clientes pulse secure

A VPN dinâmica permite que clientes do Pulse Secure estabeleçam túneis IPsec VPN para gateways de serviços SRX sem configurar manualmente as configurações de VPN em seus PCs. A autenticação do usuário é suportada por um servidor RADIUS ou um pool de endereços IP local.

O software do cliente Pulse Secure pode ser obtido no site de software de download da Juniper Networks em https://www.juniper.net/support/downloads/?p=pulse#sw.

Visão geral dinâmica da VPN

Um túnel de VPN permite que os usuários acessem com segurança ativos, como servidores de e-mail e servidores de aplicativos que residem atrás de um firewall. Túneis de VPN de ponta a ponta são particularmente úteis para usuários remotos, como teletransportadores, porque um único túnel permite o acesso a todos os recursos em uma rede — os usuários não precisam configurar configurações de acesso individuais para cada aplicativo e servidor. Veja Figura 1.

Figura 1: Usando um túnel VPN para permitir o acesso remoto a uma rede corporativa Usando um túnel VPN para permitir o acesso remoto a uma rede corporativa

O recurso VPN dinâmico também é conhecido como VPN de acesso remoto ou cliente VPN IPsec. Esse recurso é compatível com dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 e SRX550HM. O software do cliente Pulse Secure é usado para acesso VPN. A autenticação do usuário é suportada por um servidor RADIUS externo ou por um pool de endereços IP local configurado no gateway SRX. O cliente de acesso remoto de Camada 3 usa configurações do lado do cliente que recebe do gateway da Série SRX para criar e gerenciar um túnel VPN seguro de ponta a ponta para o gateway.

Se forem necessárias mais de duas conexões simultâneas de usuário, uma licença VPN dinâmica deve ser instalada no gateway da Série SRX. Consulte o Guia de instalação e atualização de software para obter informações sobre a instalação e gerenciamento de licenças. O número máximo de conexões de usuário suportadas depende do dispositivo da Série SRX.

O recurso VPN dinâmico é desativado por padrão no dispositivo. Para habilitar a VPN dinâmica, você deve configurar o recurso usando a dynamic-vpn declaração de configuração no nível [edit security] da hierarquia.

Se você tiver atualizado para o Junos OS Release 21.4R1 e posterior, observe os seguintes pontos sobre o uso do recurso VPN dinâmico:

  • A partir do Junos OS Release 21.4R1, preterimos a solução dinâmica de acesso remoto VPN. Isso significa que você não pode usar o Pulse Secure Client nos dispositivos da Série SRX. Como parte dessa mudança, depreciamos todas as declarações e comandos de CLI dinâmicos relacionados à VPN existentes, que incluem:
    • Opções de configuração em [edit security dynamic-vpn] nível de hierarquia.
    • Mostrar e limpar comandos sob o nível hierárquica [edit dynamic-vpn] .
  • A funcionalidade VPN dinâmica funciona se você continuar a configurar na hierarquia preterida para o Junos OS Release 21.3R1 e anterior. No CLI, você pode configurar VPN dinâmica na hierarquia preterida mencionando explicitamente as opções de VPN dinâmicas.
  • Como alternativa, você pode usar o cliente VPN de acesso remoto Juniper Secure Connect que introduzimos no Junos OS Release 20.3R1. O Juniper Secure Connect é um cliente VPN amigável ao usuário que oferece suporte a mais recursos e plataformas do que a VPN dinâmica. O SRX vem com dois usuários simultâricos integrados em todos os dispositivos da Série SRX. Se você precisar de outros usuários simultâricos, entre em contato com seu representante da Juniper Networks para obter licenciamento de acesso remoto. Para entender mais sobre as licenças do Juniper Secure Connect, consulte licenças para o Juniper Secure Connect e para gerenciar licenças.

Entender o suporte dinâmico do túnel VPN

Os túneis VPN dinâmicos são configurados da mesma forma que os túneis IPsec VPN tradicionais. No entanto, nem todas as opções de VPN IPsec são suportadas. Esse recurso é compatível com SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550HM e dispositivos SRX650.

A lista a seguir descreve os requisitos e as opções suportadas ao configurar túneis VPN dinâmicos:

  • Apenas VPNs baseadas em políticas são suportadas. As VPNs baseadas em rota não são compatíveis com túneis VPN dinâmicos. Os protocolos de roteamento não são compatíveis.

  • Apenas o IKEv1 é compatível. O IKEv2 não tem suporte.

  • Apenas o tráfego IPv4 e os túneis IPv4-in-IPv4 são suportados. O tráfego e os túneis IPv6 não são suportados.

  • Apenas as chaves pré-compartilhadas são suportadas para autenticação. O PKI não é compatível.

  • O modo agressivo é compatível com as trocas de fase 1 do IKE. O modo principal não é compatível.

  • O tráfego de VPN só pode ser iniciado a partir do cliente remoto. O tráfego VPN iniciado a partir do gateway SRX não é compatível.

  • A detecção de peer morto (DPD) é compatível. O monitoramento de VPN não é compatível.

  • A autenticação estendida (XAuth) com a configuração do modo é compatível.

  • A autenticação é suportada a partir de um perfil local. Os atributos podem ser fornecidos a partir de um pool de endereços local. A autenticação e os atributos podem ser fornecidos a partir de um servidor RADIUS.

  • Os clusters de chassi são suportados.

  • O NAT-T é compatível.

  • O IKE em roteadores virtuais ou em instâncias virtuais de roteamento e encaminhamento é suportado.

  • A AutoVPN não tem suporte.

  • A inserção automática de rotas (ARI) não é compatível.

  • Os direitos do administrador são necessários para instalar o software do cliente Pulse, os direitos do administrador são necessários.

  • Os usuários precisam reauthenticar durante as chaves de fase 1 do IKE. O tempo redobrar é configurável.

IDs IDs compartilhados ou em grupo podem ser usados para configurar uma única VPN que é compartilhada por todos os clientes remotos. Quando uma única VPN é compartilhada, o número total de conexões simultâneas ao gateway não pode ser maior do que o número de licenças VPN dinâmicas instaladas. Ao configurar um gateway ID ID compartilhado ou em grupo, você pode configurar o número máximo de conexões para ser maior do que o número de licenças VPN dinâmicas instaladas. No entanto, se uma nova conexão exceder o número de conexões licenciadas, a conexão será negada. Você pode visualizar informações dinâmicas de licença VPN com o show system license usage comando.

Entender o acesso remoto do cliente à VPN

Uma implantação VPN dinâmica comum é fornecer acesso VPN a clientes remotos conectados por uma rede pública, como a Internet. O acesso IPsec é fornecido por um gateway no dispositivo Juniper Networks. O software do cliente Pulse Secure é usado para acesso VPN. Esse recurso é compatível com dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550HM.

O software do cliente Pulse Secure pode ser obtido no site de software de download da Juniper Networks em https://www.juniper.net/support/downloads/?p=pulse#sw.

O seguinte descreve o processo para um cliente remoto Pulse Secure acessar a VPN:

Para obter instruções detalhadas sobre a conexão do programa de cliente remoto ao dispositivo da Série SRX, consulte o KB17641. Veja também a documentação do Pulse Secure para as informações atuais do cliente.

  1. O usuário baixa e instala o software do cliente Pulse Secure em seu dispositivo.

  2. O usuário inicia o programa de clientes remotos Pulse Secure.

    No programa de cliente remoto Pulse Secure, o usuário faz o seguinte:

    1. Clique Add connectionem .

    2. Para o Tipo, selecione Firewall (SRX).

    3. Para nome, insira o nome de host do gateway SRX.

      No dispositivo da Série SRX, este nome de host está configurado com o set security ike gateway gateway-name dynamic hostname hostname comando. O administrador do SRX deve fornecer o nome de host para usuários remotos.

    4. Para nome de URL do servidor, insira o endereço IP do gateway SRX.

      No dispositivo da Série SRX, este endereço IP é o endereço IP do external-interface configurado com o set security ike gateway gateway-name comando. O administrador do SRX deve fornecer o endereço IP para usuários remotos.

  3. Clique Adde clique Connectem . O programa de cliente remoto Pulse Secure se conecta à Série SRX usando HTTPS.

  4. Insira seu nome de usuário e senha quando solicitado. As informações de configuração são baixadas do dispositivo da Série SRX para o cliente remoto para permitir que o cliente estabeleça uma SA IKE com o dispositivo da Série SRX.

  5. Se você estiver acessando VPN dinâmica pela primeira vez, insira suas credenciais de usuário novamente para estabelecer um SA IPsec. Um endereço IP é atribuído ao cliente remoto a partir de um pool de endereços local ou de um servidor RADIUS externo.

    As credenciais de usuário que você entra na etapa 4 são usadas para baixar a configuração para o cliente remoto e estabelecer um IKE SA entre o cliente e o dispositivo da Série SRX. As credenciais de usuário inseridas nesta etapa são usadas para estabelecer um SA IPsec. As credenciais de usuário podem ser as mesmas ou diferentes, com base na configuração do dispositivo da Série SRX.

  6. Após a autenticação bem-sucedida e a atribuição de endereços, um túnel é estabelecido.

Conjuntos dinâmicos de propostas de VPN

Esse recurso é compatível com dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550HM. Configurar propostas personalizadas de Internet Key Exchange (IKE) e segurança ip (IPsec) para políticas de IKE e IPsec pode ser tediosa e demorada quando há muitos clientes VPN dinâmicos . O administrador pode selecionar conjuntos básicos, compatíveis ou padrão de propostas para clientes VPN dinâmicos. Cada conjunto de propostas consiste em duas ou mais propostas predefinidas. O servidor escolhe uma proposta predefinida do conjunto e a empurra para o cliente na configuração do cliente. O cliente usa essa proposta em negociações com o servidor para estabelecer a conexão.

Os valores padrão para o tempo limite de tempo limite da IKE e da IPsec Security Association (SA) são os seguintes:

  • Para SAs IKE, o tempo limite é de 28.800 segundos.

  • Para SAs IPsec, o tempo limite é de 3600 segundos.

Como a configuração do conjunto de propostas não permite a configuração do tempo limite, esses valores estão incluídos na configuração do cliente que é enviada ao cliente no momento do download do cliente.

Os casos básicos de uso das propostas são os seguintes:

  • IKE e IPsec usam conjuntos de propostas.

    O servidor escolhe uma proposta predefinida do conjunto de propostas e a envia ao cliente, juntamente com o valor de tempo limite de reposição padrão.

  • O IKE usa um conjunto de propostas, e o IPsec usa uma proposta personalizada.

    O servidor envia uma proposta de IKE predefinida do conjunto de proposta de IKE configurado para o cliente, juntamente com o valor de tempo limite de reposição padrão. Para IPsec, o servidor envia a configuração configurada na proposta IPsec.

  • O IKE usa uma proposta personalizada, e o IPsec usa um conjunto de propostas.

    O servidor envia uma proposta de IPsec predefinida da proposta de IPsec configurada definida para o cliente, juntamente com o valor de tempo limite de reposição padrão. Para IKE, o servidor envia a configuração configurada na proposta do IKE.

Se o IPsec usar um conjunto de propostas padrão e o sigilo de encaminhamento perfeito (PFS) não estiver configurado, então o segredo perfeito para o encaminhamento (PFS) padrão é o grupo2. Para outros conjuntos de propostas, o PFS não será definido, porque não está configurado. Além disso, para o conjunto de propostas IPsec, a group configuração da política perfect-forward-secrecy keys ipsec substitui a configuração do grupo Diffie-Hellman (DH) nos conjuntos de propostas.

Como o cliente aceita apenas uma proposta para negociar o estabelecimento de túneis com o servidor, o servidor seleciona internamente uma proposta da proposta definida para enviar ao cliente. A proposta selecionada para cada conjunto está listada da seguinte forma:

Para IKE

  • Base de nível sec: chave pré-compartilhada, g1, des, sha1

  • Compatível com o nível de sec: chave pré-compartilhada, g2, 3des, sha1

  • Padrão de nível sec: chave pré-compartilhada, g2, aes128, sha1

Para IPsec

  • Base de nível sec: esp, sem pfs (se não configurado) ou grupox (se configurado), des, sha1

  • Compatível com o nível de sec: esp, sem pfs (se não configurado) ou grupox (se configurado), 3des, sha1

  • Padrão de nível sec: esp, g2 (se não configurado) ou grupox (se configurado), aes128, sha1

Visão geral dinâmica da configuração de VPN

A VPN dinâmica permite que você forneça acesso IPsec para usuários remotos a um gateway em um dispositivo da Juniper Networks. Esse recurso é compatível com dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550HM.

Existem dois casos a considerar ao configurar VPN dinâmica:

  • Quando os usuários são configurados localmente, eles são configurados no nível [edit access profile profile-name client client-name] de hierarquia e dispostos em grupos de usuários usando a opção client-group de configuração.

  • Os usuários podem ser configurados em um servidor de autenticação externa, como um servidor RADIUS. Os usuários configurados em um servidor de autenticação externa não precisam ser configurados no nível [edit access profile profile-name] de hierarquia.

Para usuários configurados localmente, o grupo de usuários precisa ser especificado na configuração de VPN dinâmica para que um usuário possa ser associado à configuração de um cliente. Você especifica um grupo de usuários com a opção user-groups no nível [edit security dynamic-vpn clients configuration-name] de hierarquia.

Quando um usuário é autenticado, o grupo de usuários é incluído na resposta de autenticação. Essas informações são extraídas e grupos de usuários configurados no nível [edit security dynamic-vpn clients configuration-name] de hierarquia são pesquisados para determinar qual configuração do cliente recuperar e retornar ao cliente para o estabelecimento de túneis.

Se um usuário estiver associado a mais de um grupo de usuários, a primeira configuração do grupo de usuários correspondentes será usada. Se um usuário cria uma segunda conexão, a próxima configuração do grupo de usuários correspondente é usada. As conexões de usuário subsequentes usam a próxima configuração do grupo de usuários correspondente até que não haja mais configurações correspondentes.

O procedimento a seguir lista as tarefas para configurar VPN dinâmica.

  1. Configure a autenticação e a atribuição de endereços para clientes remotos:

    1. Configure um perfil XAuth para autenticar usuários e atribuir endereços. A autenticação local ou um servidor RADIUS externo podem ser usados. Use a profile declaração de configuração no nível [edit access] de hierarquia para configurar o perfil XAuth.

    2. Atribua endereços IP a partir de um pool de endereços local se a autenticação local for usada. Use a address-assignment pool declaração de configuração no nível [edit access] de hierarquia. Uma sub-rede ou uma variedade de endereços IP podem ser especificados. Endereços IP para servidores DNS e WINS também podem ser especificados.

  2. Configure o túnel VPN:

    1. Configure a política de IKE. O modo deve ser agressivo. Conjuntos básicos, compatíveis ou padrão de propostas podem ser usados. Apenas as chaves pré-compartilhadas são suportadas para a autenticação da Fase 1. Use a policy declaração de configuração no nível [edit security ike] de hierarquia.

    2. Configure o gateway IKE. IDs compartilhados ou em grupo podem ser usados. Você pode configurar o número máximo de conexões simultâneas ao gateway. Use a gateway declaração de configuração no nível [edit security ike] de hierarquia.

    3. Configure a VPN IPsec. Conjuntos de propostas básicos, compatíveis ou padrão podem ser especificados com a policy declaração de configuração no nível [edit security ipsec] da hierarquia. Use a vpn declaração de configuração no nível [edit security ipsec] de hierarquia para configurar o gateway e a política IPsec.

      Uma verificação de configuração pode ser realizada para verificar se todos os parâmetros IKE e IPsec necessários para VPN dinâmica estão configurados corretamente. Se a configuração for inválida para IKE ou IPsec, uma mensagem de erro será exibida. Você habilita a verificação de configuração com o set security dynamic-vpn config-check comando.

    4. Configure uma política de segurança para permitir o tráfego desde os clientes remotos até o gateway IKE. Use a policy declaração de configuração no nível [edit security policies from-zone zone to-zone zone] de hierarquia.

      Configure a política de segurança com os critérios source-address anyde correspondência e application any a ação permit tunnel ipsec-vpn com o nome do destination-address anytúnel VPN dinâmico. Coloque esta política no final da lista de políticas.

    5. Configure o tráfego de entrada do host para permitir que o tráfego específico chegue ao dispositivo a partir de sistemas conectados às suas interfaces. Por exemplo, o tráfego IKE e HTTPS deve ser permitido. Veja como controlar o tráfego de entrada com base em tipos de tráfego.

    6. (Opcional) Se o pool de endereços do cliente pertencer a uma sub-rede diretamente conectada ao dispositivo, o dispositivo precisaria responder às solicitações de ARP para endereços no pool de outros dispositivos na mesma zona. Use a proxy-arp declaração de configuração no nível [edit security nat] de hierarquia. Especifique a interface que conecta diretamente a sub-rede ao dispositivo e aos endereços do pool.

  3. Associe a VPN dinâmica com clientes remotos:

    1. Especifique o perfil de acesso para uso com VPN dinâmica. Use a access-profile declaração de configuração no nível [edit security dynamic-vpn] de hierarquia.

    2. Configure os clientes que podem usar a VPN dinâmica. Especifique recursos protegidos (o tráfego para o recurso protegido viaja pelo túnel VPN dinâmico especificado e, portanto, é protegido pelas políticas de segurança do firewall) ou exceções à lista de recursos protegidos (tráfego que não viaja pelo túnel VPN dinâmico e é enviado em texto claro). Essas opções controlam as rotas que são enviadas ao cliente quando o túnel está em alta, controlando assim o tráfego que é enviado pelo túnel. Use a clients declaração de configuração no nível [edit security dynamic-vpn] de hierarquia.

  4. Para registrar mensagens VPN dinâmicas, configure a traceoptions declaração no nível [edit security dynamic-vpn] de hierarquia.

Entender a autenticação local e a atribuição de endereços

Esse recurso é compatível com dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550HM. Um aplicativo do cliente pode solicitar um endereço IP em nome de um cliente. Essa solicitação é feita ao mesmo tempo que a solicitação de autenticação do cliente. Após a autenticação bem-sucedida do cliente, um endereço IP pode ser atribuído ao cliente a partir de um pool de endereço predefinido ou um endereço IP específico pode ser atribuído. Outros atributos, como endereços IP de servidor WINS ou DNS, também podem ser fornecidos ao cliente.

Os pools de endereços são definidos com a pool declaração de configuração no nível [edit access address-assignment] de hierarquia. Uma definição do pool de endereços contém informações de rede (endereço IP com massa de rede opcional), definições de alcance opcional e atributos DHCP ou XAuth que podem ser devolvidos ao cliente. Se todos os endereços em um pool forem atribuídos, uma nova solicitação para um endereço do cliente falhará mesmo se o cliente for autenticado com sucesso.

Os perfis de acesso são definidos com a profile declaração de configuração naedit access [] hierarquia. Um pool de endereços definido pode ser referenciado em uma configuração de perfil de acesso.

Você também pode vincular um endereço IP específico a um cliente em um perfil de acesso com a opção xauth ip-address address . O endereço IP deve estar na faixa de endereços especificados no pool de endereços. Ele também deve ser diferente do endereço IP especificado com a declaração de host configuração no nível [edit access profile address-assignment pool pool-name family inet] de hierarquia. Para qualquer aplicativo, se um endereço IP tiver sido atribuído, ele não será remanejado novamente até que seja lançado.

Entender IDs em grupo e IKE compartilhados

Esse recurso é compatível com dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550HM. Com VPN dinâmica, um ID exclusivo do Internet Key Exchange (IKE) é usado para cada conexão de usuário. Quando há um grande número de usuários que precisam acessar a VPN, configurar um gateway IKE individual, VPN IPsec e uma política de segurança para cada usuário pode ser complicado. O grupo IKE ID e recursos ID ID compartilhados permitem que vários usuários compartilhem uma configuração de gateway IKE, reduzindo assim o número de configurações de VPN necessárias.

Recomendamos que você configure IDs IKE em grupo para implantações de VPN dinâmicas, pois os IDs IDs de IKE em grupo fornecem uma chave pré-compartilhada exclusiva e ID IKE para cada usuário.

Este tópico inclui as seguintes seções:

IDs de IKE em grupo

Quando IDs IDs de IKE em grupo são configurados, o ID IKE de cada usuário é uma concatenação de uma parte específica do usuário e uma parte que é comum a todos os usuários de IKE ID do grupo. Por exemplo, o usuário Bob pode usar "Bob.example.net" como seu ID IKE completo, onde ".example.net" é comum a todos os usuários. O ID IKE completo é usado para identificar exclusivamente cada conexão de usuário.

Embora os IDs IDs de IKE em grupo não exijam XAuth, o XAuth é exigido por VPN dinâmica para recuperar atributos de rede, como endereços IP do cliente. Um aviso é exibido se o XAuth não estiver configurado para uma VPN dinâmica que use IDs IKE em grupo.

Recomendamos que os usuários usem as mesmas credenciais para a autenticação do WebAuth e do XAuth quando os IDs IKE em grupo forem configurados.

Vários usuários podem usar o mesmo grupo IKE ID, mas um único usuário não pode usar o mesmo grupo IKE ID para conexões diferentes. Se um usuário precisa ter conexões de diferentes clientes remotos, ele precisa ter IDs IDs IKE de grupo diferentes configurados, um para cada conexão. Se um usuário tiver apenas um IKE ID em grupo configurado e tentar uma segunda conexão de outro PC, a primeira conexão será encerrada para permitir que a segunda conexão seja concluída.

Para configurar um ID IKE em grupo:

  • Configure ike-user-type group-ike-id no nível [edit security ike gateway gateway-name dynamic] de hierarquia.

  • Configure a hostname declaração de configuração no nível [edit security ike gateway gateway-name dynamic] de hierarquia. Essa configuração é a parte comum do ID IKE completo para todos os usuários.

  • Configure a pre-shared-key declaração de configuração no nível [edit security ike policy policy-name] de hierarquia. A chave pré-compartilhada configurada é usada para gerar a chave precompartilhada real.

IDs IDs de IKE compartilhados

Quando um ID IKE compartilhado é configurado, todos os usuários compartilham um único IKE ID e uma única chave de IKE pré-compartilhada. Cada usuário é autenticado através da fase XAuth obrigatória, onde as credenciais de usuários individuais são verificadas com um servidor RADIUS externo ou com um banco de dados de acesso local. O XAuth é necessário para IDs IKE compartilhados.

O nome de usuário XAuth, juntamente com o ID IKE compartilhado configurado, é usado para distinguir entre diferentes conexões de usuário. Como o nome de usuário é usado para identificar cada conexão de usuário, tanto o nome do usuário do WebAuth quanto o nome de usuário XAuth devem ser os mesmos.

Vários usuários podem usar o mesmo IKE ID compartilhado, mas um único usuário não pode usar o mesmo IKE ID compartilhado para conexões diferentes. Se um usuário precisa ter conexões de diferentes clientes remotos, ele precisa ter IDs IDs IKE compartilhados diferentes configurados, um para cada conexão. Se um usuário tiver apenas um IKE ID compartilhado configurado e tentar uma segunda conexão de outro cliente, a primeira conexão será encerrada para permitir que a segunda conexão seja concluída. Além disso, como o nome do usuário é necessário para identificar cada conexão de usuário junto com o IKE ID, o usuário deve usar as mesmas credenciais para a autenticação do WebAuth e do XAuth.

Para configurar um ID IKE compartilhado:

  • Configure ike-user-type shared-ike-id no nível [edit security ike gateway gateway-name dynamic] de hierarquia.

  • Configure a hostname declaração de configuração no nível [edit security ike gateway gateway-name dynamic] de hierarquia. O nome de host configurado é compartilhado por todos os usuários configurados no perfil dinâmico de acesso VPN.

  • Configure a pre-shared-key declaração de configuração no nível [edit security ike policy policy-name] de hierarquia. A chave pré-compartilhada configurada é compartilhada por todos os usuários configurados no perfil dinâmico de acesso VPN.

Exemplo: Configuração de VPN dinâmica

Este exemplo mostra como configurar uma VPN dinâmica em um dispositivo da Juniper Networks para fornecer acesso VPN a clientes remotos. Esse recurso é compatível com dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550HM.

Requisitos

Antes de começar:

  1. Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.

  2. Crie zonas de segurança e atribua interfaces a elas. Veja "Entender zonas de segurança" na página 111.

  3. Se houver mais de duas conexões de usuário simultâneas, instale uma licença VPN dinâmica no dispositivo. Consulte o guia de instalação e atualização de software.

Visão geral

Um cenário comum de implantação para VPN dinâmica é fornecer acesso VPN a clientes remotos conectados por uma rede pública, como a Internet. Um endereço IP público é atribuído a uma das interfaces do gateway; essa interface normalmente faz parte da zona não confiável. Após a instalação do software do cliente, o usuário remoto pode acessar a VPN fazendo login no portal da Web ou lançando o cliente diretamente. Em ambos os casos, o cliente remoto autentica com o dispositivo da Série SRX e baixa a configuração mais recente disponível.

Figura 2 ilustra essa topologia de implantação. A interface ge-0/0/15.0 no dispositivo da Série SRX é o ponto de encerramento do túnel VPN dinâmico. Clientes remotos na zona não confiável acessam a interface ge-0/0/15.0 por meio de um cliente Pulse Secure.

Figura 2: Topologia de implantação de VPN dinâmicaTopologia de implantação de VPN dinâmica

Neste exemplo, a autenticação do cliente XAuth é realizada localmente e os endereços IP do cliente são atribuídos a partir de um pool de endereços configurado no dispositivo da Série SRX. Veja Tabela 1.

Em seguida, os conjuntos de propostas padrão são usados para negociações IKE e IPsec. Para túneis VPN dinâmicos, o modo agressivo deve ser configurado e apenas chaves pré-compartilhadas são suportadas para a autenticação da Fase 1. Um ID ID de IKE em grupo é usado e o número máximo de conexões é definido para 10. Como as VPNs dinâmicas precisam ser VPNs baseadas em políticas, uma política de segurança deve ser configurada para encaminhar o tráfego ao túnel. O tráfego IKE e HTTPS deve ser permitido para o tráfego de entrada do host.Veja Tabela 2.

Por fim, o perfil XAuth configurado para clientes remotos é especificado para a VPN dinâmica. Usuários remotos estão associados à VPN IPsec configurada. Também estão configurados recursos protegidos remotamente (os endereços de destino do tráfego que sempre são enviados através do túnel) e exceções remotas (os endereços de destino do tráfego que são enviados em texto claro em vez de através do túnel). Veja Tabela 3.

Tabela 1: Configuração remota de autenticação e atribuição de endereços do cliente

Recursos

Nome

Parâmetros de configuração

Pool de endereços IP

pool de endereços dyn-vpn

  • Endereços: 10.10.10.0/24

  • Endereço do servidor DNS: 192.0.2.1/32.

Perfil do XAuth

perfil de acesso dyn-vpn

  • Nome de usuário remoto do cliente: 'cliente1' com senha $ABC 123

  • Nome de usuário remoto do cliente: 'cliente2' com senha $ABC 456

  • Referência do pool de endereços IP: pool de endereços dyn-vpn

  • Esse perfil é o perfil padrão para autenticação da web.

Tabela 2: Parâmetros de configuração do túnel VPN

Recursos

Nome

Parâmetros de configuração

Política de IKE (Fase 1)

política ike-dyn-vpn

  • Modo: Agressivo

  • Conjunto de propostas: Padrão

  • Chave pré-compartilhada: (ASCII) $ABC 789

Gateway IKE (Fase 1)

dyn-vpn-local-gw

  • Referência de política do IKE: política ike-dyn-vpn

  • Nome de host dinâmico: dynvpn

  • Tipo de usuário IKE: ID do grupo IKE

  • Número máximo de conexões simultânitas: 10

  • Interface externa: ge-0/0/15.0

  • Referência de perfil de acesso: perfil de acesso dyn-vpn

Política de IPsec (Fase 2)

política ipsec-dyn-vpn

Conjunto de propostas: Padrão

VPN IPsec (Fase 2)

dyn-vpn

  • Referência de gateway IKE: dyn-vpn-local-gw

  • Referência de política do IPsec: política ipsec-dyn-vpn

Política de segurança (permite tráfego da zona não confiável para a zona de confiança)

política de dyn-vpn

  • Critérios de correspondência:

    • endereço fonte qualquer

    • endereço de destino qualquer

    • qualquer aplicativo

  • Permitir ação: ipsec-vpn de túnel dyn-vpn

Tráfego de entrada do host

Permita que os seguintes tipos de tráfego entrem na interface ge-0/0/15.0 na zona não confiável:

  • IKE

  • HTTPS

  • Ping

Tabela 3: Configuração de VPN dinâmica para clientes remotos

Recursos

Nome

Parâmetros de configuração

Perfil de acesso para clientes remotos

Referência de perfil de acesso: perfil de acesso dyn-vpn

Clientes remotos

Todos

  • Referência de VPN IPsec: dyn-vpn

  • Referência do nome do usuário: cliente1 e cliente2

  • Recursos protegidos remotamente: 10.0.0.0/8

  • Exceções remotas: 0.0.0.0/0

Configuração

Configuração da autenticação remota do usuário e atribuição de endereços

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.

Para configurar a autenticação remota do usuário e a atribuição de endereços:

  1. Crie o pool de atribuição de endereços.

  2. Configure o perfil XAuth.

  3. Configure a autenticação da Web usando o perfil XAuth.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show access comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do túnel VPN

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.

Para configurar o túnel VPN:

  1. Configure a política de IKE.

  2. Configure o gateway IKE.

  3. Configure IPsec.

  4. Configure a política de segurança.

  5. Configure o tráfego de entrada do host.

Resultados

A partir do modo de configuração, confirme sua configuração entrando noshow security ike, show security ipsecshow security policiese show security zones comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Associe a VPN dinâmica com clientes remotos

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.

Para associar a VPN dinâmica a clientes remotos:

  1. Especifique o perfil de acesso a ser usado com VPN dinâmica.

  2. Configure os clientes que podem usar a VPN dinâmica.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security dynamic-vpn comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Túneis VPN dinâmicos podem ser monitorados com os mesmos comandos usados para monitorar túneis VPN IPsec tradicionais. Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificação do status da Fase 1 do IKE

Propósito

Verifique o status de Fase 1 do IKE das associações de segurança.

Ação

A partir do modo operacional, entre no show security ike security-associations comando.

Verificação de clientes conectados e endereços atribuídos

Propósito

Verifique se os clientes remotos e os endereços IP atribuídos a eles estão usando o XAuth.

Ação

A partir do modo operacional, entre no show security ike active-peer comando.

Verificando o status da Fase 2 do IPsec

Propósito

Verifique o status da Fase 2 do IPsec das associações de segurança.

Ação

A partir do modo operacional, entre no show security ipsec security-associations comando.

Verificando conexões e parâmetros simultânricos para cada usuário

Propósito

Verifique o número de conexões simultânitas e os parâmetros negociados para cada usuário.

Ação

A partir do modo operacional, entre no show security dynamic-vpn users comando.

Exemplo: Configuração da autenticação local e pool de endereços

Este exemplo mostra como criar um pool de endereços e como atribuir endereços IP do cliente em um perfil de acesso. Esse recurso é compatível com dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550HM.

Requisitos

Antes de começar, configure servidores DNS e WINS primários e secundários e atribua endereços IP a eles.

Visão geral

Este exemplo cria um pool xauth1 de endereços que consiste nos endereços IP na sub-rede 192.0.2.0/24. O xauth1 pool também atribui endereços IP para servidores DNS e WINS primários e secundários.

O perfil de dvpn-auth acesso faz referência ao pool xauth1. O dvpn-auth perfil de acesso configura dois clientes:

  • Jason: O endereço IP 192.0.2.1 está vinculado a esse cliente. Após a autenticação bem-sucedida, o cliente recebe o endereço IP 192.0.2.1. Se o cliente fizer login novamente antes de fazer o login, o cliente recebe um endereço IP do pool xauth1.

  • Jacky: Após a autenticação bem-sucedida, o cliente recebe um endereço IP do pool xauth1.

Além disso, o dvpn-auth perfil de acesso especifica que a autenticação de senha é usada para verificar clientes no login. Outros métodos de autenticação podem ser especificados; o software tenta os métodos de autenticação para, do primeiro ao último, para cada tentativa de login do cliente.

Configuração

Procedimento

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.

Para configurar um pool de endereços e um perfil de acesso que usa o pool de endereços:

  1. Crie o pool de endereços.

  2. Configure o perfil de acesso.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show access comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificação da atribuição de endereços

Propósito

Verifique a atribuição de endereços. Para o XAuth, o endereço de hardware é sempre mostrado como NA. Se um endereço IP estático for atribuído a um usuário específico, o nome do usuário e o nome do perfil (no formato user@profile) serão exibidos na coluna "Host/Usuário". Se um cliente for atribuído a um endereço IP do pool, o nome de usuário será exibido; se o nome de usuário não existir, o NA será exibido. Para outros aplicativos (por exemplo, DHCP), o nome de host é exibido se configurado; se o nome de host não estiver configurado, o NA será exibido.

Ação

A partir do modo operacional, entre no show network-access address-assignment pool comando.

Exemplo: Configuração de um ID IKE em grupo para vários usuários

Este exemplo mostra como configurar um ID IKE em grupo que é usado por vários usuários. Esse recurso é compatível com dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550HM.

Requisitos

Antes de começar:

Visão geral

Neste exemplo, você configura dois usuários de VPN dinâmicos remotos que usam um único IKE ID e uma única chave pré-compartilhada IKE (veja Tabela 4 e Tabela 5). Um servidor RADIUS externo é usado para autenticar usuários e atribuir endereços IP aos clientes (ver Tabela 6).

Tabela 4: Parâmetros de configuração do túnel de VPN ID do grupo IKE

Recursos

Nome

Parâmetros de configuração

Política de IKE (Fase 1)

grupo clientpol

  • Modo: Agressivo

  • Conjunto de propostas: Compatível

  • Chave pré-compartilhada: (ASCII) para todos no perfil de acesso

Gateway IKE (Fase 1)

groupgw

  • Referência de política do IKE: grupo clientpol

  • Nome de host dinâmico: example.net

  • Tipo de usuário IKE: ID do grupo IKE

  • Número máximo de conexões simultânitas: 50

  • Interface externa: ge-0/0/0.0

  • Referência de perfil de acesso: perfil de raio

Política de IPsec (Fase 2)

client1vpnPol

Conjunto de propostas: Compatível

VPN IPsec (Fase 2)

groupvpn

  • Referência de gateway IKE: groupgw

  • Referência de política do IPsec: client1vpnPol

Política de segurança (permite tráfego da zona não confiável para a zona de confiança)

política de grupo sec

  • Critérios de correspondência:

    • endereço fonte qualquer

    • endereço de destino qualquer

    • qualquer aplicativo

  • Permitir ação: groupvpn ipsec-vpn de túnel

Tráfego de entrada do host

Permita que os seguintes tipos de tráfego entrem na interface ge-0/0/0.0 na zona não confiável:

  • IKE

  • HTTPS

  • Ping

  • SSH

Tabela 5: Configuração de VPN dinâmica ID do Grupo IKE para clientes remotos

Recursos

Nome

Parâmetros de configuração

Perfil de acesso para clientes remotos

Referência de perfil de acesso: perfil de raio

Clientes remotos

groupcfg

  • Referência de VPN IPsec: groupvpn

  • Referência do nome do usuário: derek e Chris

  • Recursos protegidos remotamente: 10.100.100.0/24

  • Exceções remotas: 0.0.0.0/0, 192.0.2.1/24, 0.0.0.0/32

Tabela 6: Autenticação do usuário do RADIUS Server (ID de IKE em grupo)

Recursos

Nome

Parâmetros de configuração

Perfil do XAuth

perfil de raio

  • RADIUS é o método de autenticação usado para verificar credenciais do usuário.

  • O endereço IP do servidor RADIUS é 10.100.100.250 e a senha é "$ABC 123".

  • Esse perfil é o perfil padrão para autenticação da Web.

Configuração

Procedimento

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.

Configurar um ID IKE em grupo para vários usuários:

  1. Configure o perfil XAuth.

  2. Configure a política de IKE.

  3. Configure o gateway IKE.

  4. Configure IPsec.

  5. Configure a política de segurança.

  6. Configure o tráfego de entrada do host.

  7. Especifique o perfil de acesso a ser usado com VPN dinâmica.

  8. Configure os clientes que podem usar a VPN dinâmica.

Resultados

A partir do modo de configuração, confirme sua configuração entrando nosshow security ike, show security ipsec, show security policies, e show security dynamic-vpnshow security zonescomandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Túneis VPN dinâmicos podem ser monitorados com os mesmos comandos usados para monitorar túneis VPN IPsec tradicionais. Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificação do status da Fase 1 do IKE

Propósito

Verifique o status de Fase 1 do IKE das associações de segurança.

Ação

A partir do modo operacional, entre no show security ike security-associations comando.

Verificação de clientes conectados e endereços atribuídos

Propósito

Verifique se os clientes remotos e os endereços IP atribuídos a eles estão usando o XAuth.

Ação

A partir do modo operacional, entre no show security ike active-peer comando.

Verificando o status da Fase 2 do IPsec

Propósito

Verifique o status da Fase 2 do IPsec das associações de segurança.

Ação

A partir do modo operacional, entre no show security ipsec security-associations comando.

Verificando conexões e parâmetros simultânricos para cada usuário

Propósito

Verifique o número de conexões simultânitas e os parâmetros negociados para cada usuário.

Ação

A partir do modo operacional, entre no show security dynamic-vpn users comando.

Exemplo: Configuração de IDs IKE individuais para vários usuários

Este exemplo mostra como configurar IDs IKE individuais para vários usuários. Esse recurso é compatível com dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550HM.

Quando há um grande número de usuários que precisam acessar a VPN, configurar um gateway IKE individual, VPN IPsec e uma política de segurança para cada usuário pode ser complicado. O recurso ID ID do grupo permite que vários usuários compartilhem uma configuração de gateway IKE, reduzindo assim o número de configurações de VPN necessárias.

Requisitos

Antes de começar:

Visão geral

O exemplo a seguir mostra a configuração para dois usuários de VPN dinâmicos remotos. Para cada usuário, uma política e um gateway IKE, política IPsec e VPN e uma política de segurança devem ser configuradas (veja Tabela 7 e Tabela 8). Um servidor RADIUS externo é usado para autenticar usuários e atribuir endereços IP aos clientes (ver Tabela 9).

Tabela 7: Parâmetros de configuração do cliente 1

Recursos

Nome

Parâmetros de configuração

Política de IKE (Fase 1)

client1pol

  • Modo: Agressivo

  • Conjunto de propostas: Compatível

  • Chave pré-compartilhada: (ASCII) para cliente1

Gateway IKE (Fase 1)

client1gw

  • Referência de política do IKE: client1pol

  • Nome de host dinâmico: example.net

  • Interface externa: ge-0/0/0.0

  • Referência de perfil de acesso: perfil de raio

Política de IPsec (Fase 2)

client1vpnPol

Conjunto de propostas: Compatível

VPN IPsec (Fase 2)

client1vpn

  • Referência de gateway IKE: cliente1gw

  • Referência de política do IPsec: client1vpnPol

Política de segurança (permite tráfego da zona não confiável para a zona de confiança)

client1-policy

  • Critérios de correspondência:

    • endereço fonte qualquer

    • endereço de destino qualquer

    • qualquer aplicativo

  • Permitir ação: cliente ipsec-vpn de túnel1vpn

Tráfego de entrada do host

Permita que os seguintes tipos de tráfego entrem na interface ge-0/0/0.0 na zona não confiável:

  • IKE

  • HTTPS

  • Ping

  • SSH

Perfil de acesso para clientes remotos

Referência de perfil de acesso: perfil de raio

Clientes remotos

cfg1

  • Referência de VPN IPsec: client1vpn

  • Referência do nome do usuário: Derek

  • Recursos protegidos remotamente: 10.100.100.0/24

  • Exceções remotas: 0.0.0.0/0, 192.0.2.1/24, 0.0.0.0/32

Tabela 8: Parâmetros de configuração do cliente 2

Recursos

Nome

Parâmetros de configuração

Política de IKE (Fase 1)

client2pol

  • Modo: Agressivo

  • Conjunto de propostas: Compatível

  • Chave pré-compartilhada: (ASCII) para cliente2

Gateway IKE (Fase 1)

client2gw

  • Referência de política do IKE: client2pol

  • Nome de host dinâmico: example.net

  • Interface externa: ge-0/0/0.0

  • Referência de perfil de acesso: perfil de raio

Política de IPsec (Fase 2)

client2vpnPol

Conjunto de propostas: Compatível

VPN IPsec (Fase 2)

client2vpn

  • Referência de gateway IKE: cliente2gw

  • Referência de política do IPsec: client2vpnPol

Política de segurança (permite tráfego da zona não confiável para a zona de confiança)

client2-policy

  • Critérios de correspondência:

    • endereço fonte qualquer

    • endereço de destino qualquer

    • qualquer aplicativo

  • Permitir ação: túnel ipsec-vpn client2vpn

Tráfego de entrada do host

Permita que os seguintes tipos de tráfego entrem na interface ge-0/0/0.0 na zona não confiável:

  • IKE

  • HTTPS

  • Ping

  • SSH

Perfil de acesso para clientes remotos

Referência de perfil de acesso: perfil de raio

Clientes remotos

cfg2

  • Referência de VPN IPsec: client2vpn

  • Referência do nome do usuário: Chris

  • Recursos protegidos remotamente: 10.100.100.0/24

  • Exceções remotas: 0.0.0.0/0, 192.0.2.1/24

Tabela 9: Autenticação do usuário DO SERVIDOR RADIUS (IKE ID individual)

Recursos

Nome

Parâmetros de configuração

Perfil do XAuth

perfil de raio

  • RADIUS é o método de autenticação usado para verificar credenciais do usuário.

  • O endereço IP do servidor RADIUS é 10.100.100.250 e a senha é "$ABC 123".

  • Esse perfil é o perfil padrão para autenticação da Web.

Configuração

Configuração do perfil XAuth

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.

Para configurar o perfil XAuth:

  1. Configure o perfil de acesso.

  2. Configure a autenticação da Web usando o perfil XAuth.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show access comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do cliente 1

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.

Para configurar VPN dinâmica para um único usuário:

  1. Configure a política de IKE.

  2. Configure o gateway IKE.

  3. Configure IPsec.

  4. Configure a política de segurança.

  5. Configure o tráfego de entrada do host.

  6. Especifique o perfil de acesso a ser usado com VPN dinâmica.

  7. Configure os clientes que podem usar a VPN dinâmica.

Resultados

A partir do modo de configuração, confirme sua configuração entrando nosshow security ike, show security ipsec, show security policies, e show security dynamic-vpnshow security zonescomandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do cliente 2

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.

Para configurar VPN dinâmica para um único usuário:

  1. Configure a política de IKE.

  2. Configure o gateway IKE.

  3. Configure IPsec.

  4. Configure a política de segurança.

  5. Configure o tráfego de entrada do host.

  6. Especifique o perfil de acesso a ser usado com VPN dinâmica.

  7. Configure os clientes que podem usar a VPN dinâmica.

Resultados

A partir do modo de configuração, confirme sua configuração entrando nosshow security ike, show security ipsec, show security policies, e show security dynamic-vpnshow security zonescomandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Túneis VPN dinâmicos podem ser monitorados com os mesmos comandos usados para monitorar túneis VPN IPsec tradicionais. Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificação do status da Fase 1 do IKE

Propósito

Verifique o status de Fase 1 do IKE das associações de segurança.

Ação

A partir do modo operacional, entre no show security ike security-associations comando.

Verificação de clientes conectados e endereços atribuídos

Propósito

Verifique se os clientes remotos e os endereços IP atribuídos a eles estão usando o XAuth.

Ação

A partir do modo operacional, entre no show security ike active-peer comando.

Verificando o status da Fase 2 do IPsec

Propósito

Verifique o status da Fase 2 do IPsec das associações de segurança.

Ação

A partir do modo operacional, entre no show security ipsec security-associations comando.

Verificando conexões e parâmetros simultânricos para cada usuário

Propósito

Verifique o número de conexões simultânitas e os parâmetros negociados para cada usuário.

Ação

A partir do modo operacional, entre no show security dynamic-vpn users comando.